可穿戴式设备的安全水平究竟如何?

无论是使用自行购买的可穿戴设备，还是在企业环境下进行IT事务管理，追踪装置与智能手表等产品正变得愈发谈及——但这也意味着可穿戴式设备很可能成为网络犯罪分子们的下一类重要攻击目标。

如果大家刚刚在购物季当中为自己买到了心仪的可穿戴式设备，恭喜!您已经迎来了新的、可追踪的、充斥着大量数据的生活纪元!

　　当然，您同时也把新的攻击目标请回了家中。

“每一项数字化技术在逐步迎来更加广泛的使用范畴之后，也会成功吸引到黑客与犯罪分子们的觊觎目光，”ESET公司的Stephen Cobb表示。“因此，如果可穿戴式设备真的全面走向普及，那么犯罪分子自然也会将其作为下一种攻击目标，并试图借此为自己牟取利益。”

作为ESET公司的资深安全研究人员，Cobb指出他还没有真正经历过指向可穿戴式设备的攻击活动，但这并不是说我们还可以继续高枕无忧地面对未来。

他在最近针对伟易达(一家专门生产儿童可穿戴设备的厂商)的报告当中指出，该公司的客户数据库已经遭到入侵——而其中包含有来自约500万家长及20万名儿童用户的个人信息。

“伟易达公司的部分玩具产品能够拍照并将部分照片共享至其后端系统当中，”Cobb解释称。“考虑到其属于可穿戴式设备，照片当中很可能包含位置信息甚至是与儿童个人健康状况相关的信息。”

不过也有一些好消息值得关注：消费者们已经开始怀疑其可穿戴式设备的安全保护能力。根据Auth0方面发起的一项研究显示，有52%的受访消费者认为物联网设备不具备与之功能相适应的安全保护能力。由此看来，有意购买可穿戴式设备的消费者们已经开始对相关产品的安全水平保持警惕。

然而，根据伟易达安全事故之影响加上Cobb的预测，整个体系当中最为薄弱的环节并不在于设备本身。事实上，负责对所收集信息进行存储的数据库才是最值得担忧的组成部分。

“如果有人打算针对可穿戴式设备厂商从消费者处收集到的数据下手，特别是那些一直觊觎客户姓名、住址、个人身份信息乃至其它敏感数据的犯罪分子，”他表示，那么他们很可能有机会席卷这些重要资讯。另外，如果他们拥有实时上传来的位置信息，那么就能够了解到哪些客户目前并不在家，并据此组织入室盗窃等行动——Facebook公司在发展早期就遇到过这类情况，犯罪分子会根据受害者张贴的度假照片猜测其目前并不在家。

而另一种可能性在于，Cobb指出，考虑到其可能面对的来自联邦贸易委员会的严厉制裁，各可穿戴式设备厂商必须在未来对其数据库进行悉心保护。

他同时强调称，消费者应当认真检查相关可穿戴设备的制造厂商以及使用此类数据的第三方应用产品的隐私政策声明，从而了解各方会如何利用我们的隐私信息。如果某款应用压根没有提到所谓隐私保护策略，那么请马上停止使用。

可穿戴式设备在工作环境下的安全性令人担忧

如果大家是一家企业的CIO且需要处理大量敏感信息——无论是健康信息、企业交易机密、财务数据抑或是委托人权限等等——那么在将可穿戴设备引入工作环境之前必须考虑其合法性。

“我会对谷歌眼镜以及智能手表内置摄像头等等能够记录音频与视频的装置表示担忧，”福克斯罗斯柴尔德律师事务所首席隐私官兼合伙人Mark McCreary指出。“在数据保护工作当中，这是我们需要加以优先关注的重点所在。”

即使员工本人只是出于无心而记录下某些重要信息(例如在工作过程中录制了一段与工作毫不相关的搞笑视频)，这些视频或者音频同样有可能包含敏感数据并被上传到云等不同位置——这些位置的安全性往往无法与企业的内部系统相提并论。

“这些信息可能存在多份副本，而且我们对这些数据完全不具备控制权，”McCreary表示。他将此比喻为员工在家中使用Dropbox。将信息保存在Dropbox当中已经受到明令禁止，而同样的情况也应当被引入对可穿戴设备的管理工作当中。

另外，某些未经许可的人也可能借其它能够查看企业所记录的数据或者办公信息的第三方处窃取资讯(请记住，Target公司之所以受到黑客攻击，恰恰是是由于一家温控与空调厂商的缘故)。这种状况往往不太明显，特别是在通过可穿戴式设备实现的情况之下——例如进入我们内部环境的第三方人员通过手机拍摄视频或者录制音频。

在这类情况下，McCreary表示，特别是考虑到企业可能需要处理大量敏感信息，我们可能应当禁用工作场合下可穿戴设备的记录功能或者根本不允许相关人员携带此类装置进入存在敏感信息的位置。

人力资源眼中的可穿戴式设备

某些企业正在着手为员工发放Fitbit等追踪设备，并将其作为个人健康计划的组成部分。虽然这一决定的背后动机可能是好的，XphertHR网站的一位法务编辑表示，但这可能意味着人力资源与法务部门有机会借此获取并查看个人数据。

“目前关于隐私侵犯的问题可谓多种多样，”她解释称，特别是在雇主对个人健康信息加以监控的条件之下。举例来说，除了Zip型号之外，所有Fitbit设备都能够记录员工的日常行为乃至睡眠模式，而员工当然不希望这些隐私数据被企业所掌握。

另外，由企业发放的可穿戴式设备还会引发个人时间与隐私时间等定义难题。“使用可穿戴式设备的员工们有可能无法确切分割工作时间与非工作时间之间的界线，”她指出。“而雇主则可能需要为此支付加班费。”

她同时补充称，如果一台设备能够记录视频或者音频，那么雇主需要确保这些设备不会访问到有违法律要求的信息，例如那些企业无权参与的工会活动，否则有可能造成与国家劳动关系法间的冲突。

根据Zoller的说法，在工作环境下处理可穿戴式设备的最佳 方式就是“建立一项管理政策，明确限定雇主在其中的定位、员工该如何使用这些可穿戴式设备，同时培训雇主、管理者以及员工”了解可穿戴式设备在工作当中能够与不能实现哪些用途。而且相关可穿戴设备使用指南应当发布在企业的官方网站当中。

毫无疑问，可穿戴式设备将建立起一个规模可观的新行业，但其仍处于起步阶段而且需要经受黑客世界的严酷洗礼——尽管我们尚不知相关攻击会在何时、何地、如何出现。“每一波技术浪潮都会带来新的、可资利用的安全薄弱环节与漏洞，”Cobb表示。“而作为一大新兴产物，可穿戴式设备也需要成为我们密切加以关注的新型威胁领域。”

本文转自d1net（转载）